“Asegure el almuerzo” Tips de negocios para emprendedores exitosos | Líderes RCN
Tabla de contenido:
- Prerrequisitos
- Instalar Certbot
- Generar grupo fuerte Dh (Diffie-Hellman)
- Obtención de un certificado SSL Let's Let's Encrypt
- Renovación automática del certificado SSL
- Conclusión
Let's Encrypt es una autoridad de certificación gratuita y abierta desarrollada por Internet Security Research Group (ISRG). Hoy en día, casi todos los navegadores confían en los certificados emitidos por Let's Encrypt.
En este tutorial, proporcionaremos instrucciones paso a paso sobre cómo asegurar su Nginx con Let's Encrypt usando la herramienta certbot en Ubuntu 16.04.
Prerrequisitos
Asegúrese de cumplir con los siguientes requisitos previos antes de continuar con este tutorial:
- Tiene un nombre de dominio que apunta a la IP de su servidor público. En este tutorial usaremos
example.com. Tiene instalado Nginx siguiendo Cómo instalar Nginx en Ubuntu 16.04.
Instalar Certbot
Certbot es una utilidad escrita en python que puede automatizar las tareas para obtener y renovar certificados Let's Let's Encrypt SSL y configurar servidores web.
Primero instale el paquete
software-properties-common
que proporciona la herramienta
add-apt-repository
necesaria para agregar PPA adicionales.
Actualice el índice de paquetes e instale
software-properties-common
con:
sudo apt update
sudo apt install software-properties-common
Una vez completada la instalación, agregue el repositorio certbot PPA a su sistema con el siguiente comando:
sudo add-apt-repository ppa:certbot/certbot
Actualice la lista de paquetes e instale el paquete certbot:
sudo apt update
sudo apt install certbot
Generar grupo fuerte Dh (Diffie-Hellman)
El intercambio de claves Diffie – Hellman (DH) es un método de intercambio seguro de claves criptográficas a través de un canal de comunicación no seguro. Genere un nuevo conjunto de parámetros DH de 2048 bits para fortalecer la seguridad:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
Si lo desea, puede cambiar el tamaño hasta 4096 bits, pero en ese caso, la generación puede tomar más de 30 minutos dependiendo de la entropía del sistema.
Obtención de un certificado SSL Let's Let's Encrypt
Para obtener un certificado SSL para nuestro dominio, utilizaremos el complemento Webroot que funciona creando un archivo temporal para validar el dominio solicitado en el
${webroot-path}/.well-known/acme-challenge
. El servidor Let's Encrypt realiza solicitudes HTTP al archivo temporal para validar que el dominio solicitado se resuelva en el servidor donde se ejecuta certbot.
Para hacerlo más simple, vamos a asignar todas las solicitudes HTTP para
.well-known/acme-challenge
a un solo directorio,
/var/lib/letsencrypt
.
Los siguientes comandos crearán el directorio y lo harán escribible para el servidor Nginx.
mkdir -p /var/lib/letsencrypt/.well-known
chgrp www-data /var/lib/letsencrypt
chmod g+s /var/lib/letsencrypt
Para evitar duplicar el código, cree los siguientes dos fragmentos que vamos a incluir en todos nuestros archivos de bloque de servidor Nginx.
location ^~ /.well-known/acme-challenge/ { allow all; root /var/lib/letsencrypt/; default_type "text/plain"; try_files $uri =404; }
/etc/nginx/snippets/ssl.conf
ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload"; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff;
El fragmento anterior incluye los chippers recomendados por Mozilla, habilita el engrapado OCSP, HTTP Strict Transport Security (HSTS) y aplica pocos encabezados HTTP centrados en la seguridad.
Una vez que se crean los fragmentos, abra el bloque del servidor de dominio e incluya el fragmento
letsencrypt.conf
como se muestra a continuación:
server { listen 80; server_name example.com www.example.com; include snippets/letsencrypt.conf; }
Active el bloqueo del servidor creando un enlace simbólico desde
sites-available
a
sites-enabled
:
sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
Vuelva a cargar la configuración de Nginx para que los cambios surtan efecto:
sudo systemctl reload nginx
Ejecute el script certbot con el complemento webroot y obtenga los archivos de certificado SSL:
sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com
Si el certificado SSL se obtiene con éxito, certbot imprimirá el siguiente mensaje:
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-04-23. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:
Ahora que tenemos los archivos de certificado, edite el bloque del servidor de dominio de la siguiente manera:
/etc/nginx/sites-available/example.com.conf
server { listen 80; server_name www.example.com example.com; include snippets/letsencrypt.conf; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; return 301 https://example.com$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; #… other code }
Con la configuración anterior, estamos forzando HTTPS y redirigiendo la versión
www
del dominio a la versión
non www
.
Vuelva a cargar el servicio Nginx para que los cambios surtan efecto:
Renovación automática del certificado SSL
Los certificados de Let's Encrypt son válidos por 90 días. Para renovar automáticamente los certificados antes de que caduquen, el paquete certbot crea un trabajo cron que se ejecutará dos veces al día y renovará automáticamente cualquier certificado 30 días antes de su vencimiento.
Como estamos usando el complemento certbot webroot una vez que se renueva el certificado, también tenemos que volver a cargar el servicio nginx. Para hacerlo, agregue
--renew-hook "systemctl reload nginx"
al archivo
/etc/cron.d/certbot
para que se vea así:
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"
Para probar el proceso de renovación, use el modificador
--dry-run
:
sudo certbot renew --dry-run
Si no hay errores, significa que el proceso de renovación fue exitoso.
Conclusión
En este tutorial, utilizó el cliente Let's Encrypt, certbot, para obtener certificados SSL para su dominio. También ha creado fragmentos de Nginx para evitar la duplicación de código y ha configurado Nginx para usar los certificados. Al final del tutorial, ha configurado un cronjob para la renovación automática de certificados.
nginx ubuntu vamos a encriptar certbot sslAsegure nginx con cifremos en ubuntu 18.04
Let's Encrypt es una autoridad de certificación gratuita y abierta desarrollada por Internet Security Research Group. En este tutorial, proporcionaremos instrucciones paso a paso sobre cómo asegurar su Nginx con Let's Encrypt usando la herramienta certbot en Ubuntu 18.04
Asegure apache con cifremos en ubuntu 18.04
En este tutorial, proporcionaremos instrucciones paso a paso sobre cómo asegurar su Apache con Let's Encrypt usando la herramienta certbot en Ubuntu 18.04.
Asegure nginx con cifremos en debian 10 linux
Este tutorial muestra cómo instalar un certificado SSL Let's Encrypt gratuito en Debian 10, Buster con Nginx como servidor web. También mostraremos cómo configurar Nginx para usar el certificado SSL y habilitar HTTP / 2.